Ticketmaster cieta no Snowflake platformas datu pārkāpuma kiberuzbrukumā, kas apdraud lietotāju datus
Ticketmaster kopā ar vairākām citām organizācijām piedzīvoja nozīmīgu datu pārkāpumu platformas Snowflake kiberuzbrukuma dēļ. Drošības pētnieki ziņoja, ka tika nozagts ievērojams informācijas apjoms, kas ietekmēja miljoniem lietotāju.
Satura rādītājs
Pārkāpuma atklāšana
Pārkāpums nonāca sabiedrības uzmanības lokā, kad bēdīgi slavena hakeru grupa apgalvoja, ka ir izfiltrējusi 560 miljonu lietotāju datus, pieprasot par šo informāciju 500 000 USD. Live Nation Entertainment, Ticketmaster mātesuzņēmums, apstiprināja pārkāpumu SEC iesniegumā, atklājot nesankcionētu piekļuvi trešās puses mākoņu datubāzei.
31. maijā Snowflake atklāja, ka tā izmeklē kiberincidentu, kas ietekmē ierobežotu skaitu klientu. Apdraudējuma dalībnieki mērķēja uz klientu kontiem, izmantojot viena faktora autentifikāciju, un izmantoja iepriekš iegūtos akreditācijas datus. Snowflake uzsvēra, ka nav pierādījumu par tās pamatplatformas ievainojamību vai pārkāpumiem.
Drošības pasākumi un uzņēmuma reakcija
Snowflake paziņoja, ka apdraudētie akreditācijas dati piederēja bijušajam darbiniekam un tika izmantoti, lai piekļūtu demonstrācijas kontiem, kuros nebija sensitīvu datu. Demonstrācijas konti nebija nodrošināti ar daudzfaktoru autentifikāciju (MFA), atšķirībā no Snowflake korporatīvajām sistēmām. Uzņēmums sniedza kompromisa rādītājus (IoC) un ieteica aizdomīgu konta darbību mazināšanu.
Kiberuzbrukums skāra daudzas organizācijas, tostarp Anheuser-Busch, Allstate, Mitsubishi, Neiman Marcus, Progressive, Santander Bank un State Farm. Santander Bank ziņoja par nesankcionētu piekļuvi savām datu bāzēm, apdraudot klientu un darbinieku informāciju. Uzbrukums, iespējams, skāra aptuveni 400 organizācijas, un uzbrucēji pieprasīja no Snowflake 20 miljonus dolāru.
Izmeklēšanas secinājumi
Draudu dalībnieki apgalvoja, ka ir apiejuši Okta aizsardzību un ģenerējuši sesijas marķierus, ļaujot viņiem nozagt milzīgu datu apjomu. Pārskatos tika norādīts, ka tika apdraudēti vairāk nekā 500 demonstrācijas vides gadījumi. Austrālijas kiberdrošības centrs atzina pastiprināto apdraudējumu aktivitāti saistībā ar Snowflake klientu vidi.
Drošības pētnieks Kevins Bomonts uzsvēra, ka Snowflake nespēja izmantot MFA demonstrācijas vidē un pienācīgi drošos darbinieku kontos veicināja pārkāpumu. Apdraudējuma dalībnieki, kas identificēti kā pusaudži, kas aktīvi telegrammā, izmantoja informācijas zagļus, lai piekļūtu Snowflake datu bāzēm ar zagtiem akreditācijas datiem.
Ieteikumi Snowflake/Tickmaster klientiem
Klientiem ieteicams atspējot neaktīvos kontus, nodrošināt, ka MFA ir iespējota, atiestatīt aktīvo kontu akreditācijas datus un ievērot Snowflake ieteikumus, lai aizsargātu savus datus.
Ticketmaster datu pārkāpums, ko veicināja Snowflake, uzsver stingru drošības pasākumu, tostarp daudzfaktoru autentifikācijas un modras akreditācijas datu pārvaldības nozīmi, lai aizsargātos pret sarežģītiem kiberdraudiem.